{"id":291308,"date":"2024-02-03T00:05:29","date_gmt":"2024-02-02T23:05:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291308"},"modified":"2024-02-20T11:01:26","modified_gmt":"2024-02-20T10:01:26","slug":"anydesk-wurde-im-januar-2024-gehackt-produktionssysteme-betroffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-wurde-im-januar-2024-gehackt-produktionssysteme-betroffen\/","title":{"rendered":"AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das Katz-und-Maus-Spiel ist vorbei – meine Bef\u00fcrchtungen haben sich best\u00e4tigt. Die Tage dauernde \"Wartung\" (Maintenance) der AnyDesk-Webseiten geht auf einen Cyberangriff zur\u00fcck. Die Produktionssysteme von AnyDesk wurden gehackt. Alle AnyDesk-Software ist als kompromittiert anzusehen. Nachdem das BSI eine mit einer Sperre versehene Warnung an KRITIS-Anwender verschickt hat, liegt mir von AnyDesk der Inzidenz-Report vor. Nachfolgend packe ich mal alle Informationen, die ich inzwischen habe, in einen Beitrag zusammen.<\/p>\n

<\/p>\n

Die Vorgeschichte<\/h2>\n

\"\"Zum 25. Januar 2024 hatte sich ein Leser bei mir gemeldet und \u00fcber st\u00e4ndige \"St\u00f6rungen\" bei der Fernwartungssoftware AnyDesk beklagt. Der Leser konnte so ab dem 20. Januar 2024 keine Verbindungen mehr aufbauen. Zudem wurden pl\u00f6tzlich keine Lizenz-Keys mehr akzeptiert. Der AnyDesk-Support gab nur an, dass es \"momentan Probleme mit den Server-Verbindungen\" gab.<\/p>\n

\"AnyDesk-Supportantwort<\/p>\n

Ich hatte den Fall im Blog-Beitrag St\u00f6rung bei AnyDesk, jemand betroffen?<\/a> aufgegriffen, aber von meiner Blog-Leserschaft die R\u00fcckmeldung in der Art \"nix bemerkt, gehen Sie weiter, nix zu sehen\" bekommen. Ab dem 30. Januar 2024 war aber der Webauftritt von AnyDesk im Maintenance-Mode und nicht mehr erreichbar.<\/p>\n

Wer oder was ist AnyDesk?<\/h3>\n

Bei AnyDesk handelt es sich um einen Anbieter, der eine Fernwartungssoftware unter gleichem Namen anbietet. Das Produkt wurde von ehemaligen TeamViewer-Mitarbeitern entwickelt und galt lange als Alternative zu diesem Produkt. AnyDesk wird von vielen Firmen eingesetzt, insgesamt spricht der Anbieter von 170.000 Kunden. Dabei werden auch Namen wie 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS und die Vereinten Nationen genannt. Zudem ist AnyDesk in einigen Produkten integriert.<\/p>\n

Erste Hinweise auf einen Hack<\/h3>\n

Auf Grund eines kryptischen Hinweises aus einer anonymen Quelle, AnyDesk nicht mehr in kritischen Umgebungen einzusetzen, hatte ich im Blog im Beitrag AnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a> am 1. Februar 2024 die Frage nach einem Hack gestellt. In den letzten zwei Tagen tr\u00f6pfelten dann die Bruchst\u00fccke aus verschiedenen Quellen bei mir ein, dass da was dran sei.<\/p>\n

Vor allem stellte sich heraus, dass AnyDesk laut Changelog<\/a> zum 29. Januar 2024 die f\u00fcr die digitale Signierung der AnyDesk-Client-Version 8.0.8 verwendeten Zertifikate ausgetauscht hatte.<\/p>\n

Eine BSI-Warnung mit Sperre<\/h3>\n

Was ich auch herausgefunden hatte: Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hatte die Woche eine Warnung an den Kreis der Betreiber kritischer Infrastrukturen verschickt, diese aber mit einer TLP-Klassifizierung versehen, so dass nur ein sehr kleiner Personenkreis diese einsehen und keinesfalls teilen durfte. Hinweise zur TLP-Klassifizierung finden sich hier<\/a>, meinen Informationen nach war das Dokument mit TLP:AMBER+STRICT<\/em> eingestuft – ich kenne den Inhalt bis heute nicht – wusste aber, dass es einen Hack gegeben habe, bei dem Schl\u00fcssel abgeflossen waren.<\/p>\n

AnyDesk best\u00e4tigt erfolgreichen Cyberangriff<\/h2>\n

In einem mit von AnyDesk zugesagten und vor wenigen Stunden per Mail zugeschickten \"Inzidenz-Report\" wird meine Vermutung, dass es einen Cyberangriff gegeben habe, best\u00e4tigt. Der kurze Inzidenz-Report ist hier in Englisch<\/a> abrufbar. AnyDesk best\u00e4tigt, dass nach Hinweisen auf einen Vorfall in einigen der eigenen Systeme eine Sicherheits\u00fcberpr\u00fcfung durchgef\u00fchrt wurde. Dabei fanden sich Hinweise auf kompromittierte Produktionssysteme.<\/p>\n

Vorfall Ende Januar 2024?<\/h3>\n

Der Inzidenz-Report enth\u00e4lt keine Datumsangaben, meinen Informationen nach wurde diese \u00dcberpr\u00fcfung wohl am 29. oder 30. Januar 2024 eingeleitet, was mit dem Start der Maintenance-Phase zum 30. Januar 2024 korrespondiert. Von AnyDesk hei\u00dft es, dass man sofort einen Abhilfe- und Reaktionsplan aktiviert habe, an dem die Cybersicherheitsexperten von CrowdStrike beteiligt waren.<\/p>\n

Maintenance abgeschlossen, Beh\u00f6rden informiert<\/h3>\n

Weiterhin hei\u00dft es im Report, dass der Sanierungsplan erfolgreich abgeschlossen wurde. Die zust\u00e4ndigen Beh\u00f6rden seien benachrichtigt worden und das Unternehmen arbeite eng mit den Beh\u00f6rden zusammen. Das Unternehmen dementiert, dass es sich bei diesem Vorfall um eine Infektion mit Ransomware handelt. Das muss dann zur oben erw\u00e4hnten BSI-Warnung mit der \"TLP:AMBER+STRICT<\/em>\" Sperre gef\u00fchrt haben, was die Brisanz des Vorfalls unterstreicht.<\/p>\n

Zertifikate und Passw\u00f6rter widerrufen<\/h3>\n

AnyDesk hat in Folge dann alle sicherheitsrelevanten Zertifikate widerrufen, und die Systeme seien, soweit erforderlich, repariert oder ersetzt worden, hei\u00dft es weiter. Das erkl\u00e4rt den tagelangen Wartungsmodus der Systeme. Das bisherige Code Signing-Zertifikat f\u00fcr AnyDesk-Bin\u00e4rdateien soll nun in K\u00fcrze widerrufen werden, und AnyDesk habe bereits damit begonnen, dieses durch ein neues zu ersetzen, schreibt der Anbieter.<\/p>\n

Das best\u00e4tigt die Beobachtung, dass die AnyDesk-Client-Version 8.0.8 vom 29. Januar 2024 mit einem neuen Zertifikat signiert wurde. Die Kollegen von Bleeping Computer, mit denen ich gestern noch in Kontakt stand, haben in diesem Artikel<\/a> das verwendete alte und neue Zertifikat benannt.<\/p>\n

Nutzerpassw\u00f6rter sollen ge\u00e4ndert werden<\/h3>\n

Im Inzidenz-Report schreibt AnyDesk \"Als Vorsichtsma\u00dfnahme haben wir alle Passw\u00f6rter f\u00fcr unser Webportal my.anydesk.com widerrufen und empfehlen den Benutzern, ihre Passw\u00f6rter zu \u00e4ndern, wenn sie dieselben Anmeldedaten an anderer Stelle verwenden.\" Diesen Hinweise hatte ich gestern bereits verklausuliert hier im Blog gegeben und geraten, die Fernwartungssoftware vorerst nicht mehr einzusetzen.<\/p>\n

Keine Hinweise auf Ausnutzung?<\/h3>\n

AnyDesk schreibt zu diesem Vorfall, dass man bislang keine Hinweise darauf habe, dass Endger\u00e4te betroffen seien. Man k\u00f6nne best\u00e4tigen, dass die Situation unter Kontrolle ist und AnyDesk sicher genutzt werden kann. Anwender sollen sicherstellen, dass sie die neueste Version mit dem neuen Code Signing-Zertifikat verwenden. Die Integrit\u00e4t und das Vertrauen in unsere Produkte sei f\u00fcr den Anbieter von gr\u00f6\u00dfter Bedeutung und man nehme diese Situation sehr ernst, hei\u00dft es weiter.<\/p>\n

AnyDesk schreibt abschlie\u00dfend, dass die Systeme so konzipiert seien, dass sie keine privaten Schl\u00fcssel, Sicherheits-Tokens oder Passw\u00f6rter speichern, die ausgenutzt werden k\u00f6nnten, um eine Verbindung zu Endbenutzerger\u00e4ten herzustellen.<\/p>\n

Informationsdeckel bis zum Schluss<\/h2>\n

So weit die Verlautbarungen von AnyDesk, die mit am 2. Februar 2024 gegen 22:44 Uhr per Mail zugingen – da hat man den ganzen Tag dran gefeilt, denn mir war bereits am Morgen dieses Tages ein Gespr\u00e4ch mit dessen CEO zugesagt worden. Beim telefonischen Kontakt mit dem BSI-Pressesprecher vom Vormittag des 2.2.2024 wollte mir dieser nicht mal best\u00e4tigen, wann die Information an die \u00d6ffentlichkeit geht. In Teil 2 m\u00f6chte ich einige Informationen aufbereiten, die ich aus diversen Quellen erhalten habe und das Ganze etwas in einen Gesamtkontext stellen.<\/p>\n

Erg\u00e4nzung:<\/strong> In Teil 8 gibt es weitere offizielle Informationen – und die Erkenntnis, dass die franz\u00f6sischen Sicherheitsbeh\u00f6rden die f\u00fcr Deutschland klassifizierten BSI-Informationen ungefiltert an die \u00d6ffentlichkeit weitergeben.<\/p>\n

Artikelreihe:<\/strong>
\nAnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> – Teil 1
\n<\/a>AnyDesk-Hack Undercover – weitere Informationen und Gedanken<\/a> – Teil 2
\nAnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3
\nAnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
\nAnyDesk-Hack \u2013 Eine Nachlese \u2013 Teil 5<\/a>
\nAnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a>\u00a0\u2013 Teil 6
\nAnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a> \u2013 Teil 7
\nAnyDesk-Hack \u2013 Weitere Informationen vom 5. Februar 2024<\/a>\u00a0-Teil 8
\nAnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a>\u00a0\u2013 Teil 9
\nAnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a>\u00a0\u2013 Teil 10
\nAnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11
\nAnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSt\u00f6rung bei AnyDesk, jemand betroffen?<\/a>
\nAnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a><\/p>\n

Leidiges Thema AnyDesk, die Lizenzen und deren 7.1-Client \u2026<\/a>
\nAnyDesk-Probleme: Stellungnahme des Herstellers und weitere Insights<\/a>
\nNach AnyDesk \u00c4rger nun RustDesk offline?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das Katz-und-Maus-Spiel ist vorbei – meine Bef\u00fcrchtungen haben sich best\u00e4tigt. Die Tage dauernde \"Wartung\" (Maintenance) der AnyDesk-Webseiten geht auf einen Cyberangriff zur\u00fcck. Die Produktionssysteme von AnyDesk wurden gehackt. Alle AnyDesk-Software ist als kompromittiert anzusehen. Nachdem das BSI eine mit einer … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291308","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291308"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291308\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}